飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例

1. 在FortiGate防火墙上配置Windows DC LDAP服务器

找到User & Device > LDAP Servers配置具体的LDAP内容

2. 在Windows DC服务器上安装FSSO的代理软件

按照软件安装的向导一步步操作安装

输入Windows AD管理员administrator的密码

选择Advanced

在Collector Agent IP address的地方填写Windows AD server对应的IP地址，端口号8002

选择需要做监控的域名

选择哪些你不需要做监控的用户名

在Working Mode的选项处选择DC Agent Mode.

重启域控制器

重启后，代理软件就可以开始正常运行

勾选Require authenticated connection from FortiGate的选项并输入和防火墙联动的密码

3. 在FortiGate防火墙上配置Single Sign-On

找到User & Device > Single Sign-On然后创建一个新的SSO server

在Groups的选项中, 选择相应需要监控的用户，下图中选择了"FortiOS Writers"这个组

4. 在FortiGate防火墙中增加一个用户组

找到User & Device > User Groups创建一个新的FSSO用户组

在Members的选项中选择"FortiOS Writers" 这个组

5. 在FortiGate防火墙中添加相应的策略

找到Policy & Objects > IPv4 Policy 创建一条新的策略，允许"FortiOS_Writers"在安全的认证情况下浏览网页

默认的网页安全过滤Profile将被调用

9. 结果

在FSSO的代理软件上，我们可以看到通过SSO认证上来的相应用户

登录防火墙，通过CLI命令行输入以下命令，查看用户FSSO的认证情况

diagnose debug authd fsso list

----FSSO logons----

IP: 10.10.20.3 User: ADMINISTRATOR Groups: CN=FORTIOS

WRITERS,CN=USERS,DC=TECHDOC,DC=LOCAL Workstation:

WIN2K8R2.TECHDOC.LOCAL MemberOf: FortiOS_Writers

IP: 10.10.20.7 User: TELBAR Groups: CN=FORTIOS

WRITERS,CN=USERS,DC=TECHDOC,DC=LOCAL Workstation:

TELBAR-PC7.TECHDOC.LOCAL MemberOf: FortiOS_Writers

Total number of logons listed: 2, filtered: 0

----end of FSSO logons----

也可以在防火墙的Web页面上找到Monitor >Firewall User Monitor的选项来查看FSSO用户认证信息

找到Log & Report > Forward Traffic的选项，可以查看到对应FSSO用户浏览网页的日志记录

选择某一条日志双击可以看到具体的日志内容